服务器安全设置 1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。 4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。 5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。 6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。 7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8、在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 以上四项清空。 9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入 以下为引用的内容:ASPNET GuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger (****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。) 10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoSharewks"=dword:00000000 11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。 Alerter 发送管理警报和通知 Computer Browser:维护网络计算机更新 Distributed File System: 局域网管理共享文件 Distributed linktracking client 用于局域网更新连接信息 Error reporting service 发送错误报告 Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表 Removable storage 管理可移动媒体、驱动程序和库 Remote Desktop Help Session Manager 远程协助 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Messenger […]
View DetailsIIS作为一款流行的Web服务器,在当今互联网环境中占有很大的比重,绝大多数的asp、asp.net网站都运行在它上面。因此,也引来了无数黑客们关注的目光。目前针对IIS的攻击技术已经非常成熟,而且相对技术门槛较低,所以很多初学者拿它来练手。许多网站因为网站管理员的安全意识不高或技术上的疏忽而惨遭毒手。本文通过实例来谈谈针对IIS的攻击技术与安全加固措施。 攻击实例 IIS写权限漏洞利用 我们先通过一个攻击实例来演示如何利用IIS权限配置不当来快速攻陷一个网站,以此来提高广大读者对IIS安全性的重视。 目标网站IP:192.168.1.105 利用漏洞:IIS写权限漏洞 用到的工具:IIS PUT Scaner、桂林老兵写权限利用工具 1 检测目标网站是否存在写权限漏洞 打开IIS PUT Scanner,输入目标网站的IP、端口号(默认为80端口),然后点击“Scan”按钮开始扫描,很快就返回了结果,如图1所示: 图1 2 IIS写权限漏洞利用过程 根据扫描结果,我们可以确定目标网站存在IIS写权限漏洞。下面我们来看下如何利用这个漏洞,来得到一个WebShell。 我们先将“”这段一句话木马代码保存成一个txt文档,名字随意。我这里命名为test.txt。接着打开桂林老兵写权限利用工具,输入目标网站的IP或域名,在“数据包格式”处的下拉菜单中选择“PUT”数据包提交方式,最后点击“数据包提交”按钮,我们来看服务器返回的结果。如图2所示: 图2 服务器返回了201响应码,这标志着我们成功上传了文件。 现在我们需要将刚刚上传的txt文本修改为asp文件,否则服务器不会将它解析为asp文件。在“数据包格式”的下拉菜单中选择“MOVE”数据包提交方式,在“Destination”处修改文件名称,默认为shell.asp,这里我修改为cmd.asp。然后点击“提交数据包”按钮,我们来看服务器返回的信息。如图3所示: 图3 服务器同样返回了“201”响应码,说明我们成功将test.txt修改为cmd.asp了。 现在我们用一句话木马客户端来连接刚上传的一句话木马,可以成功访问。如图4所示: 图4 这样我们就得到了一个WebShell。从整个攻击过程来看,用的时间很短,而且技术门槛很低,一个普通人运用工具也可以很快拿下一个网站。但遗憾的是,在实际的渗透测试过程中,依然有不少站点存在这样的漏洞,希望通过这个实例能够引起广大网络管理员对安全的重视。 IIS作为一款流行的Web服务器,在当今互联网环境中占有很大的比重,绝大多数的asp、asp.net网站都运行在它上面。因此,也引来了无数黑客们关注的目光。 IIS6.0解析漏洞利用 a. 在WEB目录下,当文件名称为类似“a.asp;b.jpg”这种格式的时候,IIS会将它解析为asp文件,如图5所示。 图5 b. 在WEB目录下,IIS6.0会将以“x.asp”这种格式命名的文件夹下的所有文件都解析为asp文件,如图6所示。 图6 上面这两点属于IIS设计的缺陷,但可惜微软认为这是IIS的特性,一直没有推出相应的安全补丁。 在尝试绕过文件上传检测时,这两种方法有时非常有效,下面是在实际渗透测试过程中遇到的一个例子。 先登录网站后台,直接上传一个asp木马,提示非法文件,不允许上传。接下来将它的名称改为1.asp;2.jpg后再次上传,发现成功上传至网站目录,如图7所示。 安全加固 这部分我们通过跟踪IIS从安装到配置的整个过程,分析其中可能面临的安全风险,并给出相应的加固措施。 IIS安装及版本的选择 在IIS安装过程中,根据具体的业务需求,只安装必要的组件,以避免安装其他一切不必要的组件带来的安全风险。如网站正常运行只需要ASP环境,那我们就没必要安装.net组件。 对于IIS版本,至少要在6.0以上,IIS5.0存在严重的安全漏洞,不过现在运行IIS5.0的服务器已经非常少了,对于这一点不用太过担心。 IIS配置 1 删除IIS默认站点 把IIS默认安装的站点删除或禁用掉。 2 禁用不必要的Web服务扩展 打开IIS 管理器,检查是否有不必要的“Web服务扩展”,如果有则禁用掉。如图8所示: 3 IIS访问权限配置 如果IIS中有多个网站,建议为每个网站配置不同的匿名访问账户。 方法: a. 新建一个账号,加入Guests组 b. “网站属性”—>“目录安全性”—>“身份验证和访问控制”,把“启用匿名访问”处,用刚新建的账户代替默认账户,如图9所示。 图9 4 网站目录权限配置 原则(如图10): 目录有写入权限,一定不要分配执行权限 目录有执行权限,一定不要分配写入权限 网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限 其他目录一般只分配“读取”和“记录访问”权限即可 图10 5 只保留必要的应用程序扩展 根据网站的实际情况,只保留必要的应用程序扩展,其他的一律删除,尤其是像cer、asa这样极其危险的扩展,而且一般网站也不需要它,如图11。 图11 6 修改IIS日志文件配置 无论是什么服务器,日志都是应该高度重视的部分。当发生安全事件时,我们可以通过分析日志来还原攻击过程,否则将无从查起。有条件的话,可以将日志发送到专门的日志服务器保存。 先检查是否启用了日志记录,如未启用,则启用它。日志格式设置为W3C扩展日志格式,IIS中默认是启用日志记录的。 接着修改IIS日志文件保存路径,默认保存在“C:\WINDOWS\system32\LogFiles”目录下,这里修改为自定义路径。建议保存在非系统盘路径,并且IIS日志文件所在目录只允许Administrators组用户和SYSTEM用户访问,如图12。 图12 7 防止信息泄露 a. 禁止向客户端发送详细的ASP错误信息 “IIS管理器”—>“属性”—>“主目录”—>“配置”—>“调试”,选择“向客户端发送下列文本错误消息”项,自定义出错时返回的错误信息,如图13。 图13 b. 修改默认错误页面 “IIS管理器”—>“属性”—>“自定义错误”,用自定义的错误页面替换默认的默认页面。下面是我自定义的一个404错误页面,当网站发生404错误时,将向客户端返回这个页面,如图14。 8 自定义IIS Banner信息 默认Banner信息会泄露服务器类型、版本等相关信息,我们需要对其进行修改,这样可以防止信息泄露,还可以骗过一些自动化扫描、攻击工具。 a. 修改默认HTTP头信息 在修改之前,我们先来看下默认的HTTP头信息是什么样的。我们向IIS服务器发一个请求,然后用抓包工具分析它返回的数据,就可以发现HTTP头信息,如图15所示: 上图用红框标注的地方就是HTTP头信息,通过它我们就可以确定目标网站使用的是IIS服务器。 现在我们来看下如何自定义HTTP头信息。首先,打开“IIS管理器”—>“属性”—>“HTTP头”,在“自定义HTTP头”选中默认的HTTP头信息,进行编辑,或者删除掉默认的,自己添加一个新的HTTP头信息。图16中是我随便自定义的一个HTTP头。 图16 在修改完成后,我们再来抓包分析一下,如图17所示: 从图上可以看到,现在IIS服务器返回的HTTP头已经是我们自定义了。 b. 修改默认IIS头信息 修改默认IIS头信息需要通过工具来完成。这里推荐使用ServerMask,它是一款专门用来隐藏或修改IIS服务器默认Banner信息,防止信息泄露的工具。下图18是该软件的界面: 图18 根据服务器返回的信息,我们很容易判断出目标网站使用的服务器是IIS,版本是6.0,操作系统是Windows Server 2003,这些信息对攻击者确定下一步行动是非常有帮助的。 我们也可以使用扫描工具来完成刺探目标网站服务器相关信息的任务,这类工具非常多,而且使用非常简单,如图20。 现在我们来把默认的IIS头信息隐藏或修改掉,首先打开软件,选中要保护的网站,在“Security Profile”处的下拉菜单中选择相应的策略,这里我自定义一个。 图21 如图21所示,我把IIS默认的头信息修改成了Apache服务器的信息。这样就可以迷惑攻击者,有效隐藏网站的真实信息。现在我们再来分析下修改后的IIS服务器返回的头信息,如图22: 现在IIS服务器返回的头信息已经是我们自定义的了,这里伪装成了Apache服务器。 我们再用扫描工具扫描一下,看能否得到目标网站的真实服务器类型,结果如图23: 根据上图,我们可以看到现在扫描器已经获取不到目标网站的服务器类型了。 对于一些自动化攻击工具来说,因为获取不到目标服务器的类型和版本相关信息,自然也就无法进行下一步攻击了。 总结 通过上面对IIS攻击和安全加固的实例,相信读者对IIS服务器的安全有了更加深入的认识。其实对于IIS的安全加固并不难,很多时候更重要的是管理员的安全意识,只要有足够的安全意识,加上上面介绍的安全加固方法,相信你一定可以打造一个安全的IIS服务器。 转自:http://sec.chinabyte.com/278/12496778.shtml
View Details问题如题。 解决:安装Acronis Disk Director Suite 后,并且软件的提交操作中只有重启和取消两种操作,如果点击重启,根本不会对硬盘分区,就直接重启了。如果点击取消,则根本不会出现任何操作。无论对分区怎么操作都是重启,在重启时报错: Abnormal Termination..Abnormal Termination的意思是“异常终止”,说明Acronis Disk Director Suite 10.00.2160没有办法完成分区操作就已经终止了修改方法看这里:注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager下有个主键:BootExecute,它原来的值是:autocheck autochk *但安装了Acronis Disk Director Suite 中文版后,它变成了autocheck autochk *autopartntautopartntautopartnt把新增的三个autopartnt删除,恢复成:autocheck autochk *,再进行分区修改就正确了如果安装了Pqmagic在出错后每次启动出错,应该也是修改这个地方
View Details自从安装了ssh工具后,可爱的ping命令就不能用了,真郁闷…… 然后就把ssh工具卸载了,还是不能用,于是百度~解决。 原因:某些软件把自己添加到环境变量中时,却把系统的环境变量覆盖了,重新把系统的环境变量加上就可以了: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM
View Details服务,是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序。其实,服务就是一种特殊的应用程序,它从服务启动开始就一直处于运行状态,而普通应用程序在运行之后就处于休眠状态,直到用户再次对其进行操作;在WinXP里,服务是在系统加载以后就自动启动的,而不需要登陆,但自动运行的普通应用程序是在WinXP加载并登录以后才执行的。 对于安装服务,一般分为两种情况: 情况一:安装可以作为服务运行的程序成为WinXP的服务; 情况二:安装不可以作为服务运行的程序(即普通的应用程序)成为WinXP的服务。 使用安装工具:srvinstw.exe和srvany.exe,Win2000资源工具包中提供的工具; 下面是手工添加服务的方法,适用找不到添加工具的时候手工添加服务。 通过修改注册表来添加服务: 在注册表编辑器,展开分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”,在右侧窗格中显示的就是本机安装的服务项。如果要新建服务,只须点击“编辑→新建→项”,然后为此项命名,如“test”;然后右击该项,选择“新建→字符串值”或“新建→Dword值”即可。 添加一个服务项目具体需要添加的键值如下: “DisplayName”,字符串值,对应服务名称; “Description”,字符串值,对应服务描述; “ImagePath”,字符串值,对应该服务程序所在的路径; “ObjectName”,字符串值,值为“LocalSystem”,表示本地登录; “ErrorControl”,Dword值,值为“1”; “Start”,Dword值,值为2表示自动运行,值为3表示手动运行,值为4表示禁止; “Type”,Dword值,应用程序对应10,其它对应20。 另外,还要在“test”项下新建一个“Enum”项。如果有些必须通过srvany来加载的还必须添加另外的Parameters子项在该项中提供详细的要加为服务的程序所在的路径。而上面的那个路径就需要指到srvany所在的路径。 上面提到的是如何添加服务,怎么删除windows服务呢,请继续看: 一、Windows服务 Windows服务也称为Windows Service,它是Windows操作系统和Windows网络的基础,属于系统核心的一部分,它支持着整个Windows的各种操作。诸如DNS客户端、打印程序、Windows更新服务、计划任务、Windows时间服务、告警器等服务,它们关系到机器能否正确运行。如果不能适当地管理这些服务,就会影响到机器的正常操作。 一个服务首先是一个Win32可执行程序,或者是是rundll32.exe来运行一个.dll的方式形成的进程。 跟普通应用程序不一样,如打开WORD,有一个界面出来,但服务没有用户界面。也不能通过直接双击运行相应的.exe程序来运行。那Windows又是如何控制一个服务的? Windows的服务由更上一级的services.exe这个服务来管理,由它来管理,负责进行服务的启动、停止、运行,暂停等。我们最常用的操作就是通过Windows的服务MMC界面来完成相关操作。 二、如何删除Windows服务 现在的流氓软件,越来越多把自己注册为一个服务。在Hijackthis的扫描日志中,一般会把非Windows系统的服务以023的方式列出来,如下面这段: O23 – 未知 – Service: BKMARKS [提供传输协议的数据安全保护机制,有效维护数据传输中的安全及完整。] – C:\WINDOWS\SYSTEM32\RUNDLL.EXE O23 – 未知 – Service: ewido anti-spyware 4.0 guard [ewido anti-spyware 4.0 guard] – D:\Program Files\ewido anti-spyware 4.0\guard.exe O23 – 未知 – Service: KSD2Service [KSD2Service] – C:\WINDOWS\system32\SVCH0ST.exe 对于这些流氓软件,需要删除相关的.exe文件,使它不能再运行,或者直接清除这个服务本身,使计算机重启的时候,它不会再启动。 删除的办法有两个: 办法一: 用sc.exe这个Windows命令 开始——运行——cmd.exe,然后输入sc就可以看到了。使用办法很简单:sc delete “服务名”(如sc deleteService 83F9085F) 如针对上面的: sc delete KSD2Service 方法二:直接进行注册表编辑(不推荐) 打开注册表编辑器,找到下面的键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,一般服务会以相同的名字在这里显示一个主健,直接删除相关的键值便可。(HKEY_CURRENT_USER\SYSTEM \CurrentControlSet\Services 下可能也有,可在注册表中查找删除) 三、特殊情况 1、如果服务显示的是rundll32.exe,并且这个文件是位于system32目录下,那么就不能删除这个rundll32.exe文件,它是Windows系统的文件。这时只要清除相关的服务就可以了 2、如果一个服务删除了马上又自动建立了,说明后台有进程在监视、保护。需要先在进程管理器中杀掉相应的进程,或者启动后按F8,到安全模式下删除。 转自:http://www.8844.com/html/IT_jiaocheng/ruanjian/chengxu/Windows/system/2011/10-21/378635.html
View Details条件:本人使用的是Chew-WGA.0.9破解的server 2008 r2 ,这个能照下面的开启win7主题和aero peek桌面预览 使用SK_Patch_v1_R2_Final破解的是oem完美激活,可惜此windows版本不支持主题 下列是说Chew-WGA.0.9破解的r2办法 1.管理工具—-服务管理器—功能—-添加功能—–打勾桌面体验(安装MediaPlayer和Windows7的功能部件)—-装完重启 2.管理工具—服务—启用Themes服务C:\windows\system32\svchost.exe,以后开启选自动! 3.鼠标右击桌面—个性化—选择使用Aero主题 4.把你的显卡驱动装好才能在性能设置里出现Aero Peek桌面预览题项选,本人使用的是艾尔莎8600GT显卡,不知道是否对显卡要求高不高,不过显卡驱动没装之前高级系统设置里你别想见到此项.哈哈顺手也把声卡驱动也装了,并在服务开启Windows Audio服务,并设置为自动. 5..计算机右击鼠标属性—–高级系统设置—-高级—-性能设置—-自定义—-钩选(启用Aero主题)—-结果在任务栏属性也就可以看到Aero Peek预览桌面是启用可选的. 6.修改Aero Peek桌面预览速度:运行—–cmd—-regedt32—-打开注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面新建DWORDS(32位)键值—命名Desktop Livel Preview Hover Time—-键值是500-2000(十进制) PS:已经开启过aero peek桌面预览的,觉得没过动过什么,却突然用不了aero peek了? 或者在高级设置里没法见到aero peek那项 解决办法:个性化—–更改主题重新选取Aero主题—–进去高级设置那就能见到aero peek那项了,点选,开启了aero peek后,你再更改桌面背影,选取多张图片,可以桌面幻灯片10秒—-1天多项选择更换桌面的图片! 转自:http://hi.baidu.com/manhaosslove/item/22d508882a69c85ee63d191d
View Details在网上找了好多资料都没找到,无意当中找的了一片文章(国外的网站)帮我解决了问题,因此想与大家分享。 首先错误信息(见图一): 图一 解决方法: 一、验证SSL需要选中的网站(见图二) 1、首先打开所要修改的网站然后右击选择“属性” 2、选择“目录安全性”-->在安全通信中选择“编辑” 3、选择“要求安全通信(SSL)”后点击“确定”。 图二 二、创建一个HttpRedirect.htm 文件保存到“C:\InetPub” HttpRedirect.htm中的代码:
|
1 2 3 4 5 6 7 8 9 10 11 |
<!-- beginning of HttpRedirect.htm file --> <script type="text/javascript"> function redirectToHttps() { var httpURL = window.location.hostname + window.location.pathname; var httpsURL = "https://" + httpURL ; window.location = httpsURL ; } redirectToHttps(); </script> <!-- end of HttpRedirect.htm file --> |
三、用HttpRedirect.htm文件替换403文件(见图三) 1、打开你的网站右击选择“属性” 2、选择“自定义错误”点击编辑 3、在“文件”中添加HttpRedirect.htm文件(路径为:C:\Inetpub\HttpRedirect.htm) 图三 四、测试 输入的网址:http://会自动跳转到https:// 参考网址: http://www.jppinto.com/2009/01/automatically-redirect-http-requests-to-https-on-iis-6/ 转自:http://www.cnblogs.com/nanyaxu/archive/2012/11/19/2777507.html
View DetailsOpenSSH很老了,所以… 最开始只是因为openSSH启动不了,才用的MobaSSH,它配置简单兼容性好,缺点就是偷偷的建立了一个账户,让我感觉很不爽。所以决定把OpenSSH配置好。经过检查,发现OpenSSH安装的时候已经把环境变量添加好了,因此在命令行窗口是可以直接输入执行 ssh chmod等等命令的,但是当我输入ls的时候,提示缺少cygintl-2.dll,所以这个提醒了我更换检索词。最终解决这个问题。 下载地址: http://sourceforge.net/projects/sshwindows/files/OpenSSH for Windows – Release/3.8p1-1 20040709 Build/setupssh381-20040709.zip/download 1. 默认安装 2. 补上cygintl-2.dll和cygwin1.dll 下载:http://samanthahalfon.net/resources/cygwin_includes.zip 将它们复制到c:\Program Files (x86)\OpenSSH\bin目录下,如果提示覆盖,则覆盖之,不然进行下面操作,会提示 不能启动opensshd服务 OpenSSH Error 1067:The process terminated unexpectedly 系统出错,进程意外终止 3. 开始安装 cd "c:\Program Files (x86)\OpenSSH\bin" mkgroup -l >> ..\etc\group 生成一个group mkpasswd -l [-u <username>] >> ..\etc\passwd 比如: mkpasswd -l -u mxio >> ..\etc\passwd 这样就生成用户名mxio的passwd文件, 它调用的是系统用户名和密码 cd ..\..\etc 给权限..\bin\chown mxio * ..\bin\chmod 600 * 4. 启动opensshd服务 不出问题会提示启动成功 net start opensshd 5. 测试连接 ssh mxio@localhost
View Details